Trybunał Sprawiedliwości doprecyzowuje zakres pojęcia danych osobowych w kontekście przekazania danych pseudonimizowanych stronom trzecim – C-413/23 P (EIOD v SRB)
Trybunał Sprawiedliwości uchylił wyrok Sądu ogólnego, który unieważnił decyzję Europejskiego Inspektora Ochrony Danych (EIOD).
Po przeprowadzeniu procedury restrukturyzacyjnej Banco Popular Español Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) 7 czerwca 2017 r. przyjęła wstępną decyzję dotyczącą ewentualnej konieczności wypłaty odszkodowań byłym akcjonariuszom i wierzycielom banku. Ponieważ decyzja ta została podjęta bez wysłuchania tych osób, SRB zorganizowała później procedurę umożliwiającą im przedstawienie uwag do tej decyzji. W ramach tej procedury SRB przekazała część tych uwag, w formie danych pseudonimizowanych, firmie Deloitte – spółce audytorskiej i doradczej, której powierzono ocenę skutków procedury restrukturyzacyjnej dla akcjonariuszy i wierzycieli.
Kilku poszkodowanych akcjonariuszy i wierzycieli złożyło skargi do Europejskiego Inspektora Ochrony Danych, twierdząc, że SRB nie poinformowała ich o przekazaniu danych ich dotyczących osobom trzecim, tj. Deloitte. EIOD uznał, że w tym przypadku Deloitte był odbiorcą danych osobowych skarżących. Ponadto stwierdził, że SRB naruszyła obowiązek informacyjny określony w rozporządzeniu 2018/1725. SRB wniosła następnie skargę o unieważnienie decyzji EIOD do Sądu ogólnego Unii Europejskiej. Sąd ogólny częściowo uwzględnił skargę i unieważnił zaskarżoną decyzję.
Rozpatrując apelację wniesioną przez EIOD, Trybunał Sprawiedliwości uchylił wyrok Sądu ogólnego i przekazał sprawę z powrotem. Kluczowe ustalenia Trybunału Sprawiedliwości:
•Po pierwsze, Trybunał uznał, że Sąd ogólny popełnił błąd prawny, twierdząc, że EIOD powinien był zbadać treść, cel lub skutki uwag przekazanych Deloitte, aby stwierdzić, czy „dotyczyły” one osób, które je złożyły. Trybunał podkreślił, że osobiste opinie lub poglądy, jako wyraz myślenia danej osoby, są z natury rzeczy ściśle z nią związane.
• Po drugie, Trybunał potwierdził, że Sąd ogólny miał rację, wskazując, iż dane pseudonimizowane nie zawsze i dla każdej osoby muszą być uznawane za dane osobowe w rozumieniu rozporządzenia 2018/1725. Zgodnie z orzecznictwem, pseudonimizacja może – w zależności od okoliczności – skutecznie uniemożliwić identyfikację osoby, której dane dotyczą, przez podmioty inne niż administrator.
• Po trzecie, Trybunał stwierdził, że Sąd ogólny popełnił błąd prawny, uznając, że EIOD powinien był ocenić, czy uwagi przekazane Deloitte stanowiły dane osobowe z punktu widzenia Deloitte. Trybunał wyjaśnił, że ocena identyfikowalności osoby, której dane dotyczą, zależy od okoliczności przetwarzania danych w danym przypadku. Obowiązek informacyjny dotyczy relacji prawnej między osobą, której dane dotyczą, a administratorem i odnosi się do informacji przekazanych temu administratorowi – przed ewentualnym przekazaniem ich stronie trzeciej.
W związku z tym Trybunał uznał, że identyfikowalność osoby, której dane dotyczą, należy oceniać w momencie ich zbierania i z perspektywy administratora. Obowiązek informacyjny SRB obowiązywał przed przekazaniem danych i niezależnie od tego, czy dane te były uznawane za dane osobowe z punktu widzenia Deloitte po ewentualnej pseudonimizacji.
Źródło:
Komunikat prasowy Trybunału Sprawiedliwości Unii Europejskiej
